请设计一个面向高校就业创业服务平台的系统安全架构，需考虑数据隐私保护、权限控制、防攻击（如SQL注入、XSS）等需求，并说明核心组件和关键技术选型。

1) 【一句话结论】：采用分层纵深防御架构，结合零信任模型、动态访问控制、端到端加密及输入验证，从网络、应用、数据层面全方位防护，确保数据隐私与防攻击能力。

2) 【原理/概念讲解】：

• 分层安全架构：像“安全城墙”，分为网络层（防火墙、入侵检测）、应用层（Web应用防火墙、输入验证）、数据层（加密存储、脱敏），各层职责明确，层层加固。
• 零信任模型：核心思想是“永不信任，始终验证”，即用户/设备无论内外网，每次访问都要通过身份认证和授权，类比“公司门禁系统，即使员工进入办公室，仍需验证身份才能访问特定区域”。
• 访问控制模型：
  • RBAC（基于角色的访问控制）：按角色分配权限，如“学生”角色只能查看简历，“管理员”可编辑，简单易用。
  • ABAC（基于属性的访问控制）：更灵活，根据用户属性（如专业、年级）、资源属性（如敏感数据标记）、环境属性（如时间、位置）动态授权，适合复杂场景。
• 输入验证与防攻击：通过白名单过滤输入（如XSS用HTML实体编码，SQL注入用参数化查询），将攻击从“输入”环节拦截。
• 数据加密：传输用TLS（HTTPS），存储用AES加密，密钥用KMS管理，确保数据在“传输中”和“静止时”安全。

3) 【对比与适用场景】：
以访问控制模型为例：

模型	定义	特性	使用场景	注意点
RBAC	基于角色分配权限	规则简单，角色固定，权限集中管理	角色明确、权限静态的场景（如学生、教师、管理员）	难以处理复杂动态权限
ABAC	基于属性动态授权	权限灵活，可结合多维度属性	需要动态调整权限的场景（如敏感数据访问、按时间限制）	实现复杂，需属性定义和管理

4) 【示例】（防SQL注入与权限检查伪代码）：

# 用户上传简历接口（示例）
def upload_resume(user_id, resume_data):
    # 1. 输入验证（防XSS）
    if not is_valid_input(resume_data, allowed_tags=['p', 'br']):
        return {"error": "输入内容非法"}
    
    # 2. 权限检查（RBAC）
    if not check_role(user_id, "student"):
        return {"error": "无权限上传简历"}
    
    # 3. 数据加密存储
    encrypted_data = encrypt_data(resume_data, key_from_kms())
    save_to_db(user_id, encrypted_data)
    
    return {"message": "上传成功"}

其中is_valid_input通过白名单过滤HTML标签，check_role查询用户角色，encrypt_data调用KMS加密。

5) 【面试口播版答案】：
“面试官您好，我设计的系统安全架构采用分层纵深防御，核心是零信任模型和动态权限控制。首先，网络层用防火墙和WAF拦截外部攻击；应用层通过输入验证（防XSS、SQL注入）和参数化查询；数据层用TLS传输加密和AES存储加密。权限控制上，结合RBAC（角色固定）和ABAC（动态属性），比如学生只能查看简历，管理员可编辑，同时根据用户专业、时间等动态调整权限。关键技术选型：用Nginx+WAF防Web攻击，Spring Security做权限控制，KMS管理密钥，零信任通过OAuth2.0+JWT实现身份认证。这样能全方位保护数据隐私和防攻击。”

6) 【追问清单】：

• 追问1：零信任模型中，如何处理用户从内网到外网的频繁访问？
  回答要点：通过短生命周期令牌（如JWT有效期5分钟），每次访问重新验证，结合设备指纹（如IP、设备ID）动态授权。
• 追问2：数据加密的密钥管理，如何避免密钥泄露？
  回答要点：用KMS（密钥管理服务）集中管理，密钥轮换（如每90天），访问控制（仅授权人员可操作），审计日志记录密钥使用。
• 追问3：如何处理敏感数据（如学生个人信息）的脱敏？
  回答要点：在数据展示时脱敏（如隐藏身份证号后四位），存储时加密，同时定义数据分类（如公开、内部、敏感），按分类应用不同加密策略。
• 追问4：如果遇到SQL注入攻击，系统如何快速响应和溯源？
  回答要点：WAF实时拦截并记录攻击日志，结合数据库审计（如SQL Server的SQL Auditing），分析攻击模式，调整输入验证规则。
• 追问5：ABAC模型中，如何定义和管理属性？
  回答要点：建立属性目录（如用户属性：专业、年级；资源属性：数据敏感级别；环境属性：访问时间），通过策略引擎（如Pep）动态计算授权结果。

7) 【常见坑/雷区】：

• 坑1：只说技术不提架构，比如只说用WAF防攻击，但没说明分层防护的层次。
• 坑2：权限控制只说RBAC，忽略动态场景，导致无法应对复杂权限需求。
• 坑3：数据加密只说传输加密，忽略存储加密，导致静态数据泄露。
• 坑4：防攻击只说输入验证，但没提WAF等工具，显得技术方案不完整。
• 坑5：零信任模型解释不清晰，比如没说明“永不信任”的核心，导致面试官质疑安全理念。